SIEM SATIŞ VE PAZARLAMA AKTİVİTELERİNDE DİKKAT EDİLECEKLER
SIEM ile ilgili akademik seviyede veya teknik detay içeren makaleler yazmakla birlikte zaman zaman özet bilgiler de vermeye çalışıyorum. Şimdi ise hiç teknik detaylara girmeden yapılan pazarlama ve reklamlar ilgili dikkat çekmek istediğim hususları paylaşacağım.
Eğer bir SIEM ürünü ile ilgili;
Çok kolay kurulur gibi yuvarlak bir ifade duyarsanız tek başıma kimsenin yardımı olmadan kaç dakikada lisanslarım? diye sorabilirsiniz.
Ortada net ve ölçülebilir rakamlar yoksa vur kaça dikkat etmek lazım. SureLog SIEM den örnek vermek gerekirse 2 dakika 49 saniyede kurup lisanslayabilirsiniz.
Log toplama yöntemleri (ajanlı, ajansız) ve logları parse etme konusunda eğer seçeceğiniz ürün istediğiniz logları topluyor ve istediğiniz raporlar oluşuyorsa aynı işi gören değişik alternatiflerden biri olarak değerlendirebilirsiniz. Zaten neredeyse her SIEM bu yöntemleri destekleyecektir. Dolayısı ile bu konulardaki cümleleri de böyle değerlendirmeniz faydanıza olacaktır.
Buraya dikkat!! gelişmiş korelasyon deyip de buna 3–5 tane rakiplerinin çoğu tarafından yapılamayacak örnek veremiyorsa, pek teknik rekabet yapmak istemiyordur.
SureLog olarak yayınladığımız 1000 e yakın senaryo vardır. 5 tanesini tekrar örnek olsun diye vereyim:
1–5 dakikada 250 MB veya daha fazla upload edilirse tespit et
2-Arada hiç başarılı oturum açmadan 10 dakikada 3 veya daha fazla başarısız oturum deneyen kullanıcı olursa tespit et
3-En az 30 gün veya daha fazla süredir suskun olan makine veya kullanıcı tekrar ağda görülürse tespit et ve bu kullanıcı disable et
4–Bir kullanıcı 1 hafta içerisinde proxyde zararlı kategorileri en az birer kere ziyaret etmişse uyar.(Bot Networks,Uncategorized,Malware,Spyware,Dynamic Dns,Encrypted Upload)
5–30 gün veya daha önce disable edilmiş bir hesapla hedef IP’leri farklı olan sunuculara -oturum açma denemeleri olmuşsa uyar.
Ücretli ve ücretsiz Tehdit İstihbaratı modülü SIEM için önemli bir özellik ama artık neredeyse olmayan SIEM yok. Dolayısı bu önemli özelliğin rakiplere göre farkı neymiş söylemiyorsa sormak lazım.
Aynı şekilde veri zenginleştirme, analiz gibi konularla ilgili de teknolojik avantajlar açıkça ifade edilmiyor ise bu konuda da teknolojik rekabetten kaçılıyordur.
Örnek vermek gerekirse çok boyutlu listeleri destekliyor mu?, veya parse edilmiş veya ham dataya template uygulayıp yeni data üretebiliyor mu?
Çok boyutlu listeler #Arcsight, #Logrthym, #Qradar ve #SureLog tarafında desteklenir geri kalan SIEM ler tarafından desteklenmezken
template uygulayarak veri zenginleştirme Arcsight, SureLog ve bir iki ürün daha destekler geri kalanları desteklemez. Yoksa dosyadan
okuduğu ile, DB den okuduğu ya da AD den okuduğunu loga eklemek artık ayırt edici bir özellik değildir.
SureLog SIEM veri zenginleştirme özelliği ve listeler ile ilgili makalelere aşağıdaki linklerden ulaşabilirsiniz.
Aksiyon alma önemli bir özellik; bunu da sadece kendi markası ile mi yoksa FW de bloklama, AD de user disable etme, uzaktan windows ortamındaki makinayı kapatma gibi işlemleri marka bağımsız yaptığını söylüyor mu? Yoksa sadece yine pazarlama cümlesi derinliğinde mi? geçiyor bakmak lazım. Aşağıdaki linkte SureLog aksiyon alma özelliği ile ilgili bir doküman bulabilirsiniz.
Rapor meselesinde de farkı ne? Rakiplerde olmayan bir şey söylemiş mi? ona bakmak lazım. Peki SureLog SIEM bu konuda ne söylüyor:
Eşsiz performans, müthiş altyapı gibi cümleler kurup CPU ve RAM rakamları veriyor mu? Neden eşsiz? SureLog performans verileri:
En kritiği de sona bıraktım :)
Canlı loga değinmiş mi? Değinmemişse kaçın :):)
SureLog SIEM canlı loga ilk ve hala tek değinen, öne çıkaran ve şeffaf bir şekilde herkese açık veriler paylaşan Türk şirketidir.
Tabi bu bir yabacı ürün ise makalemi 22 yıl önce Abbas Güçlü’nün yazdığı aşağıdaki yazısı ile bitireyim.
